Backdoor

Malware Linux tersembunyi yang digunakan untuk sistem backdoor selama bertahun-tahun

April 29, 2021 by Winnie the Pooh

Malware Linux yang baru-baru ini ditemukan dengan kemampuan backdoor telah berada di luar radar selama bertahun-tahun, memungkinkan penyerang untuk memanen dan mengekstrak informasi sensitif dari perangkat yang disusupi.

Backdoor, yang dijuluki RotaJakiro oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), tetap tidak terdeteksi oleh mesin anti-malware VirusTotal, meskipun sampel pertama kali diunggah pada tahun 2018.

RotaJakiro dirancang untuk beroperasi secara sembunyi-sembunyi, mengenkripsi saluran komunikasinya menggunakan kompresi ZLIB dan enkripsi AES, XOR, ROTATE.

Itu juga melakukan yang terbaik untuk memblokir analis malware agar tidak membedahnya karena informasi sumber daya yang ditemukan dalam sampel yang ditemukan oleh sistem BotMon 360 Netlab dienkripsi menggunakan algoritma AES.

Penyerang dapat menggunakan RotaJakiro untuk mengekstrak info sistem dan data sensitif, mengelola plugin dan file, dan menjalankan berbagai plugin pada perangkat Linux 64-bit yang disusupi.

Namun, 360 Netlab belum menemukan maksud sebenarnya pembuat malware untuk alat berbahaya mereka karena kurangnya visibilitas ketika datang ke plugin yang disebarkannya pada sistem yang terinfeksi.

Sejak 2018 ketika sampel RotaJakiro pertama mendarat di VirusTotal, 360 Netlab menemukan empat sampel berbeda yang diunggah antara Mei 2018 dan Januari 2021, semuanya dengan total nol deteksi yang mengesankan.

Peneliti 360 Netlab juga menemukan tautan ke botnet Torii IoT yang pertama kali ditemukan oleh pakar malware Vesselin Bontchev dan dianalisis oleh Tim Intelijen Ancaman Avast pada September 2018.

Selengkapnya: Bleeping Computer

Cyberspies menargetkan organisasi militer di negara Asia Tenggara dengan backdoor Nebulae baru

April 29, 2021 by Winnie the Pooh

Aktor ancaman berbahasa Mandarin telah menyebarkan backdoor baru dalam beberapa operasi spionase dunia maya yang berlangsung selama kira-kira dua tahun dan menargetkan organisasi militer dari Asia Tenggara.

Setidaknya selama satu dekade, kelompok peretas yang dikenal sebagai Naikon telah aktif memata-matai organisasi di negara-negara sekitar Laut Cina Selatan, termasuk Filipina, Malaysia, Indonesia, Singapura, dan Thailand, setidaknya selama satu dekade, sejak 2010.

Naikon kemungkinan adalah aktor ancaman yang disponsori negara yang terkait dengan China, sebagian besar dikenal karena memfokuskan upayanya pada organisasi terkenal, termasuk entitas pemerintah dan organisasi militer.

Selama serangan mereka, Naikon menyalahgunakan perangkat lunak yang sah untuk memuat malware tahap kedua yang dijuluki Nebulae kemungkinan digunakan untuk mencapai persistence, menurut penelitian yang diterbitkan oleh peneliti keamanan di Lab Intelijen Ancaman Cyber Bitdefender.

Nebulae menyediakan kemampuan tambahan yang memungkinkan penyerang mengumpulkan informasi sistem, memanipulasi file dan folder, mendownload file dari server perintah dan kontrol, dan menjalankan, mendaftar, atau menghentikan proses pada perangkat yang disusupi.

Dalam rangkaian serangan yang sama, pelaku ancaman Naikon juga mengirimkan malware tahap pertama yang dikenal sebagai RainyDay atau FoundCore yang digunakan untuk menyebarkan muatan tahap kedua dan alat yang digunakan untuk berbagai tujuan, termasuk backdoor Nebulae.

Selengkapnya: Bleeping Computer

Apakah Seseorang di Departemen Perdagangan Menemukan Pintu Belakang SolarWinds pada Agustus 2020?

April 22, 2021 by Winnie the Pooh

Pada 13 Agustus 2020, seseorang mengunggah file yang dicurigai berbahaya ke VirusTotal, sebuah layanan yang memindai file yang dikirimkan terhadap lebih dari lima lusin produk antivirus dan keamanan. Bulan lalu, Microsoft dan FireEye mengidentifikasi file itu sebagai pintu belakang malware keempat yang baru ditemukan yang digunakan dalam supply chain hack SolarWinds yang luas. Analisis file berbahaya dan kiriman lainnya oleh pengguna VirusTotal yang sama menyarankan akun yang awalnya menandai backdoor sebagai mencurigakan milik personel TI di National Telecommunications and Information Administration (NTIA), sebuah divisi dari Departemen Perdagangan AS yang menangani telekomunikasi dan Kebijakan Internet.
Baik Microsoft dan FireEye menerbitkan posting blog pada 4 Maret tentang pintu belakang baru yang ditemukan pada target bernilai tinggi yang disusupi oleh penyerang SolarWinds. FireEye menyebut pintu belakang sebagai “Sunshuttle”, sedangkan Microsoft menyebutnya “GoldMax”.

Selengkapnya: krebsonsecurity

Para peneliti mengungkap malware Iran baru yang digunakan dalam serangan siber baru-baru ini

April 9, 2021 by Winnie the Pooh

Aktor ancaman Iran telah meluncurkan kampanye spionase siber baru terhadap kemungkinan target Lebanon dengan backdoor yang mampu mengekstrak informasi sensitif dari sistem yang dikompromikan.

Firma keamanan siber, Check Point, mengaitkan operasi tersebut dengan APT34, mengutip kemiripan dengan teknik sebelumnya yang digunakan oleh pelaku ancaman serta berdasarkan pola viktimologi.

APT34 (alias OilRig) dikenal karena kampanye pengintaiannya yang selaras dengan kepentingan strategis Iran, terutama mengenai industri keuangan, pemerintah, energi, kimia, dan telekomunikasi di Timur Tengah.

Grup tersebut biasanya menggunakan target individu melalui penggunaan dokumen tawaran pekerjaan palsu, dikirim langsung ke para korban melalui pesan LinkedIn, dan kampanye terbaru tidak terkecuali, meskipun cara pengirimannya masih belum jelas.

Dokumen Word yang dianalisis oleh Check Point mengklaim menawarkan informasi tentang posisi yang berbeda di perusahaan konsultan berbasis di AS bernama Ntiva IT, hanya untuk memicu rantai infeksi setelah mengaktifkan makro jahat yang disematkan, akhirnya menghasilkan pemasangan backdoor yang disebut “SideTwist”.

Selain mengumpulkan informasi dasar tentang mesin korban, backdoor tersebut membuat koneksi dengan server jarak jauh untuk menunggu perintah tambahan yang memungkinkannya mengunduh file dari server, mengunggah file sewenang-wenang, dan menjalankan perintah shell, yang hasilnya diposting kembali ke server.

Selengkapnya: The Hacker News

Peretas Korea Utara menggunakan malware Vyveva baru untuk menyerang kapal barang

April 9, 2021 by Winnie the Pooh

Grup peretasan Lazarus yang didukung Korea Utara menggunakan malware baru dengan kemampuan backdoor yang dijuluki Vyveva dan menargetkan serangan terhadap perusahaan logistik pengiriman Afrika Selatan.

Meskipun ESET hanya menemukan dua mesin yang terinfeksi malware ini, keduanya milik perusahaan pengiriman Afrika Selatan yang sama, backdoor kemungkinan digunakan dalam kampanye spionase yang ditargetkan sejak pertama kali digunakan di alam liar.

Malware ini hadir dengan serangkaian kemampuan spionase dunia maya yang memungkinkan operator Lazarus memanen dan mengekstrak file dari sistem yang terinfeksi ke server di bawah kendali mereka menggunakan jaringan anonim Tor sebagai saluran komunikasi yang aman.

Lazarus juga dapat menggunakan Vyveva untuk mengirim dan mengeksekusi kode berbahaya sewenang-wenang pada sistem yang dikompromikan di jaringan korban.

Sementara backdoor akan terhubung ke server command-and-control (C2) setiap tiga menit, ia juga menggunakan pengawas yang dirancang untuk melacak drive yang baru terhubung atau sesi pengguna aktif untuk memicu koneksi C2 baru pada sesi baru atau drive event.

Indikator gangguan, termasuk hash sampel Vyveva yang digunakan selama serangan yang menargetkan perusahaan angkutan Afrika Selatan, tersedia di akhir laporan ESET.

Cheat berbahaya untuk Call of Duty: Warzone beredar online

April 5, 2021 by Winnie the Pooh

Penjahat telah menyembunyikan malware di dalam perangkat lunak yang tersedia untuk umum yang dimaksudkan sebagai cheat untuk Call of Duty: Warzone dari Activision, para peneliti dengan pembuat game memperingatkan awal pekan ini.

Pada hari Rabu, Activision mengatakan bahwa situs curang populer mengedarkan cheat palsu untuk Call of Duty: Warzone yang berisi dropper, istilah untuk jenis backdoor yang menginstal malware tertentu yang dipilih oleh orang yang membuatnya. Dinamakan Warzone Cheat Engine, cheat tersebut tersedia di situs pada April 2020 dan bulan lalu.

Orang-orang yang mempromosikan cheat tersebut menginstruksikan pengguna untuk menjalankan program sebagai administrator dan menonaktifkan antivirus. Meskipun setelan ini sering kali diperlukan agar cheat berfungsi, setelan ini juga memudahkan malware untuk bertahan dari reboot dan tidak terdeteksi, karena pengguna tidak akan mendapatkan peringatan tentang infeksi atau bahwa software mencari hak istimewa yang lebih tinggi.

Analisis Activision mengatakan bahwa beberapa forum malware secara teratur mengiklankan kit yang menyesuaikan cheat palsu. Kit ini memudahkan pembuatan versi Warzone Cheat Engine yang mengirimkan muatan berbahaya yang dipilih oleh penjahat yang menggunakannya.

Laporan Activision datang pada hari yang sama saat tim keamanan Cisco Talos mengungkapkan kampanye malware baru yang menargetkan pemain game yang menggunakan cheat.

Selengkapnya: Ars Technica

Whistleblower mengklaim pelanggaran data Ubiquiti Networks merupakan ‘bencana besar’

April 1, 2021 by Winnie the Pooh

Seorang whistleblower yang terlibat dalam menanggapi pelanggaran data yang diderita oleh Ubiquiti Networks mengklaim bahwa insiden tersebut diremehkan dan dapat digambarkan sebagai “bencana besar”.

Pada 11 Januari, penyedia peralatan jaringan dan perangkat Internet of Things (IoT) mulai mengirimkan email kepada pelanggan yang memberi tahu mereka tentang pelanggaran keamanan baru-baru ini.

Pada saat itu, vendor mengatakan informasi termasuk nama, alamat email, dan kredensial kata sandi salted/hash mungkin telah disusupi, bersama dengan alamat rumah dan nomor telepon jika pelanggan memasukkan data ini dalam portal ui.com.

Ubiquiti tidak mengungkapkan berapa banyak pelanggan yang mungkin terlibat.

Pelanggan diminta untuk mengubah kata sandi mereka dan mengaktifkan otentikasi dua faktor (2FA).

Namun, beberapa bulan kemudian, seorang sumber yang “berpartisipasi” dalam menanggapi pelanggaran keamanan tersebut mengatakan kepada pakar keamanan Brian Krebs bahwa insiden itu jauh lebih buruk daripada yang terlihat dan dapat digambarkan sebagai “bencana besar”.

Berbicara kepada KrebsOnSecurity setelah menyampaikan kekhawatirannya melalui jalur whistleblower Ubiquiti dan otoritas perlindungan data Eropa, sumber tersebut mengklaim bahwa penjelasan penyedia cloud pihak ketiga adalah “fabrikasi” dan pelanggaran data “diremehkan secara besar-besaran” dalam upaya untuk melindungi nilai saham perusahaan itu.

Menurut dugaan responden, penjahat siber memperoleh akses administratif ke database AWS Ubiquiti melalui kredensial yang disimpan dan dicuri dari akun LastPass karyawan, yang memungkinkan mereka untuk mendapatkan akses admin root ke akun AWS, S3 buckets, log aplikasi, rahasia untuk cookie SSO, dan semua database, termasuk yang berisi kredensial pengguna.

Sumber itu juga mengatakan kepada Krebs bahwa pada akhir Desember, staf TI Ubiquiti menemukan backdoor yang ditanam oleh pelaku ancaman, yang telah dihapus pada minggu pertama Januari. Backdoor kedua juga diduga ditemukan, yang menyebabkan kredensial karyawan dirotasi sebelum publik mengetahui pelanggaran tersebut.

Para penyerang siber menghubungi Ubiquiti dan berusaha memeras 50 Bitcoin (BTC) – kira-kira $ 3 juta – dengan imbalan mereka akan diam. Namun, vendor tidak melakukan pendekatan dengan mereka.

Selengkapnya: ZDNet

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

March 19, 2021 by Winnie the Pooh

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Backdoor

Cookies Settings